Patterns
- Abwesenheit von Hinweisen
- Aktive Warnungen
- Bemerkbare kontextabhängige Hinweise
- Deaktivieren von Sicherheitsfunktionen
- Detaillierte Sicherheitsmitteilungen
- Dialoge mit Handlungsempfehlungen
- Direkte Mitteilungen
- Direkte Optionen
- Direkter Zugang zu UI-Komponenten
- E-Mailgestützte Identifikation und Authentifizierung
- Empfehlungen bereitstellen
- Empfohlene Optionen
- Erstelle Keys bei Bedarf
- Erstellung eines Security-Lexikons
- Explizite Prüfung durch Nutzer
- Explizites Löschen von Einträgen
- Gefahrenstufen
- Generelle Sicherheitsbenachrichtigungen
- Hinweise auf abweichendes Verhalten
- Hinweise auf eingeschränkte Bereiche
- Hinweisen auf Bedrohungen & Konsequenzen
- Indirekter Zugang zu UI-Komponenten
- Informative Dialoge
- Installiere vor der Ausführung
- Kontinuierliches Schlüssel-Management
- Kurze Beschreibung von UI-Komponenten
- Lokalisierung spezifischer Bereiche
- Nutzeraktivierte Sicherheitsfunktionen
- Redundante Hinweise
- Reset auf Installation
- Sende S/MIME-signierte E-Mails
- Sequentieller Zugriff auf UI-Komponenten
- Sicherheit nach Fehlern
- Sicherheitsmaßnahmen des Systems
- Standardmäßiges Deaktivieren von Funktionen
- Systemgenutzte Sicherheitsfunktionen
- Trennung von Warnhinweis und Webseite
- Unterscheidbare Sicherheitsebenen
- Unterscheide zwischen Run und Open
- Unterscheidung von internen Absendern
- Unwiderrufliches Löschen
- Verfolge empfangene Schlüssel
- Verfolge Empfänger
- Verzögerte unwiderrufliche Aktionen
- Warne bei Gefahr
- Wirksame Nutzung existierender Identifikationsmethoden
- Übertrage und sichere Keys
Patterns basieren auf wissenschaftlichen Quellen.
Usable Security Pattern - Explizite Prüfung durch Nutzer
Luigi Lo Iacono, Peter Nehren
- Dezember 2015
Explizite Prüfung durch Nutzer
| Name | Explizite Prüfung durch Nutzer |
| Quellen | (Garfinkel, 2005) |
| Synonyme | Keine |
| Kontext | Dies ist eine Anwendung des ersten und zweiten Fair Information Practice Prinzips für Computer Systeme: 1. Es darf kein verstecktes System geben, das automatisch persönliche Daten aufzeichnet. 2. Der Nutzer muss die Möglichkeit haben, einzusehen, welche Daten über ihn erhoben und gespeichert werden, und wie diese verwendet werden (United States Dept. of Health und Automated Personal Data Systems, 1973). |
| Problem | Ohne explizite Prüfung durch Nutzer gibt es für den Nutzer keine Möglichkeit, zu bestimmen, ob das System vertrauliche Informationen speichert. |
| Lösung | Erlaube dem Nutzer, alle vom System gespeicherten Nutzer- und Nutzungsdaten einzusehen, um zu überprüfen, ob es solche Daten gibt und ob sie korrekt sind. Es dürfen keine versteckten Daten existieren. |
| Beispiele | Der Button “View Saved Passwords” in Firefox erlaubt es dem Nutzer, seine gespeicherten Nutzernamen und deren Passwörter einzusehen. Damit die Passwörter angezeigt werden, muss der Nutzer allerdings einen zweiten Button klicken und das Firefox-Masterpassword eingeben (falls ein solches gesetzt wurde).  Source: (Garfinkel, 2005) |
| Implementierung | Stelle sicher, dass alle auf einem System gespeicherten Informationen über die Interfacenavigation erreichbar sind. Alle Informationen müssen im Dateisystem gepeichert werden. Alle mit Dokumenten assoziierten Informationen müssen sichtbar sein, sobald das Dokument geöffnet wird. Im Idealfall erhalten Informationen einen Zeitstempel, durch den man sehen kann, wann diese Information erhoben wurde; dieser Zeitstempel muss ebenfalls sichtbar sein. Falls sich sehr viele gespeicherte Informationen auf dem System befinden, sollte eine Suchfunktion angeboten werden. Dieses Pattern kann umgesetzt werden, indem Informationen niemals verworfen werden oder indem sichergestellt wird, dass vom Nutzer gelöschte Informationen mittels Unwiderrufliches Löschen unwiderruflich vom System entfernt werden. |
| Konsequenzen | Der Nutzer kann erkennen, ob in dem System vertrauliche Informationen gespeichert sind. Im Falle von Cookies stellt man fest, dass explizite Prüfung durch Nutzer auch bei Webseiten Verwendung finden sollte. |
| Abhängigkeiten | Keine |
| Beziehungen | [Explizites Löschen von Einträgen] [Unwiderrufliches Löschen] [Verzögerte unwiderrufliche Aktionen] |
| Prinzipien | [Sichtbarkeit] |
| Richtlinien | Keine |
| Check Listen | Keine |
| Use cases | Keine |
| Tags | Explicit User Audit, Explizites Löschen von Einträgen, Unwiderrufliches Löschen, Verzögerte unwiderrufliche Aktionen, Expectation Conformity, Controllability |
| Log history | [03/09/2016]: Translated to German |
Referenzen
Garfinkel, S.L., 2005. Design principles and patterns for computer systems that are simultaneously secure and usable (PhD thesis). Massachusetts Institute of Technology.
United States Dept. of Health, Education, Automated Personal Data Systems, W.S.A.C. on, 1973. Records, computers, and the rights of citizens: Report, DHEW publication, no. (oS) 73-94. U.S. Department of Health, Education; Welfare.